PDF de programación - Modulo VI - Detección de Intrusos

MODULO VI

Detección de Intrusos

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

PROGRAMA

1. Sistemas detectores de intrusos: basados en host y

basados en red

2. Técnicas de detección de intrusiones
3. Verificación de integridad
4. Análisis de tráfico
5. Sistemas actuales de detección de intrusos
6. Detección activa. Honeypots.
7. Respuesta a incidentes
8. Técnicas de informática forense
9. Recursos

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Terminología

Detección de intrusos

– Es el proceso de detectar acceso, o intentos de acceso, no
autorizado a los recursos de cómputo de una organización.

– Es el arte de detectar actividad incorrecta, inapropiada, maliciosa o

anómala en los equipos de cómputo o red de una organización.

– El proceso de detección de intrusos puede ocuparse de la atención

de ataques originados desde el exterior de la organización, o de
ataques generados en el interior de la propia organización (misuse
detection).

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Matriz de IDS

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Capacidades de los IDSs

– Un IDS efectúa una o más de las siguientes actividades para

realizar la detección de intrusos:

Reconocimiento de patrones asociados con ataques

conocidos

Análisis estadístico de patrones anormales de tráfico
Verificación de integridad de archivos específicos
Monitoreo y análisis de actividad del sistema
Monitoreo y análisis de actividad de los usuarios
Análisis de tráfico de red
Análisis de bitácoras de eventos

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Implantación de IDSs

– IDS basado en host (HIDS)

Los datos que serán analizados son generados por los

equipos de la red

Los datos a analizar pueden ser:

– recopilados de las bitácoras de las aplicaciones o las

bitácoras del sistema operativo (Logfile surveillance)

– Obtenidos a partir de la verificación de la integridad de los

archivos (File system integrity checking)

Un sistema basado en host permite rastrear más
fácilmente casos de uso inapropiado de recursos

Permite determinar con mayor facilidad si la intrusión fue

exitosa

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

IDS basado en host

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Implantación de IDSs (cont.)

– IDS basado en red (NIDS)

Se analiza el tráfico que fluye a través de un segmento de

red, por medio de un sensor configurado en modo
promiscuo (sniffing).

Los sensores se instalan en posiciones estratégicas

dentro de la organización. Usualmente se coloca uno en
cada segmento crítico.

Un IDS basado en red no siempre permite determinar con

exactitud si la intrusión fue exitosa

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

IDS basado en red

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Implantación de IDSs (cont.)

– IDS basado en stack

También conocido como NNIDS (Network Node IDS).
Similar a un firewall personal

Una variante de HIDS, que permite protección como la de

un NIDS, en la cual el monitoreo se hace en la pila
TCP/IP, permitiendo analizar los paquetes conforme
fluyen en las diferentes capas.

Esto permite que los paquetes sean analizados por el IDS

antes de que sean procesados por el kernel o por las
aplicaciones

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Implantación de IDSs (cont.)

– IDSs basados en host:

Tripwire (www.tripwire.org)
AIDE (Advanced intrusion detection environment,

http://www.cs.tut.fi/~rammer/aide.html)

– IDSs basados en red:

Dragon (www.enterasys.com)
Snort (www.snort.org)
ISS Real Secure (www.iss.net)

– IDSs basados en stack

Real Secure Desktop/Server (www.iss.net)
Tiny Firewall (www.tinysoftware.com)

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Métodos de Análisis de ID-1

¿Cuándo analizar?

– Análisis basado en intervalos

Los eventos son recolectados y registrados en bitácoras

(particulares o del sistema operativo)

Los datos son analizados en períodos de tiempo determinados
Se privilegia la exactitud de la información recopilada, sobre la

velocidad de respuesta

Al no ser en tiempo real, no existe un gran impacto en el
desempeño de los equipos en que residen los sensores

Los incidentes son detectados tiempo después de que han

ocurrido.

Muy difícil responder a los incidentes

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Métodos de Análisis de ID-2

¿Cuándo analizar? (continuación)

– Análisis en tiempo real

Los datos son analizados conforme son recolectados
El objetivo es que un ataque pueda ser bloqueado antes de sea

completado y la víctima sea comprometida.

– El equipo de seguridad puede atender el incidente mientras

está ocurriendo

– Pueden establecerse respuestas automatizadas para

ataques conocidos

Se requieren recursos adicionales de procesamiento y memoria
La configuración es crucial, ya que una respuesta automática a

un falso-positivo puede resultar costosa

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Métodos de Análisis de ID-3

¿Cómo analizar?

– Análisis de firmas

El proceso de verificar la coincidencia de firmas de ataques

conocidos contra los datos recolectados

Firma

– Un evento o patrón de eventos que corresponde a un

ataque conocido

– Ejemplos: Una inundación de paquetes ICMP, una

secuencia de bytes utilizada por un gusano

Debe existir la firma en el IDS para que un ataque pueda ser

detectado

Al encontrar una coincidencia, se genera una alarma indicando

una intrusión (o actividad maliciosa).

Comunmente implantado en los IDSs comerciales

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Métodos de Análisis de ID-4

¿Cómo analizar? (continuación)

– Análisis de Anomalías

También conocido como behavioral or statistical analysis
El IDS crea perfiles de comportamiento de cada usuario

(horarios de conexión, duración de sesiones en la red, ancho de
banda utilizado, etc.)

El objetivo es encontrar una desviación a un patrón o

comportamiento conocido.

Al encontrar una desviación se genera una alarma indicando una

posible intrusión.

No es incorporado comunmente en los IDSs comerciales

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Verificación de Integridad

La verificación de integridad de sistemas de archivos es una

técnica que permite:

– Determinar si se han modificado, eliminado o añadido

archivos, con referencia en un estado anterior.

– Detectar y reparar fácilmente un sistema modificado

intencional o accidentalmente

Herramientas de verificación de integridad
– Algoritmos de digestión: MD5, SHA1
– Firma digital: PGP, GPG
– Tripwire (Unix, Windows)
– AIDE (UNIX)

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Tripwire for Servers

1. Tomar una foto digital
de los archivos existentes

2. Tomar una segunda

foto, para comparar

3. Las violaciones de

integridad son registradas

S
SL

Reportes
Reportes

Email
Email

Tripwire
Tripwire
Tripwire
Manager
Manager
Manager

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Componentes Tripwire

Política definida por el usuario

– Especifica los objetos en el sistema y los atributos de dichos

objetos que serán verificados

– Es almacenada cifrada y firmada para prevenir cambios no

autorizados (El Gammal, 1024 bits)

Base de datos de estado

– Se construye con base en la política definida por el usuario.
– Se usa como base para determinar si han ocurrido cambios en

el sistema

– Es almacenada cifrada y firmada para prevenir cambios no

autorizados

Llaves criptográficas

– Site key: protege las políticas y archivos de configuración que

pueden utilizarse a lo largo de la organización.

– Local key: protege la base de datos y reportes de una máquina

en particular

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Verificación de Integridad con Tripwire

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Puesta a punto de políticas

Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.

10.2003 | Página 1

Comandos de Tripwire

twadmin

– Crear archivos de configuración y de políticas
– Realizar operaciones criptográficas a los archivos de Tripwire

tripwire

– Crear la base de datos
– Verificar integridad
– Actualizar la base de datos y las políticas

twprint

– P